AWS SRA용 코드 리포지토리 예제 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS SRA용 코드 리포지토리 예제

간단한 설문 조사에 참여하여 AWS 보안 참조 아키텍처(AWS SRA)의 미래에 영향을 미칩니다.

AWS SRA에서 지침을 구축하고 구현하는 데 도움이 되도록 https://github.com/aws-samples/aws-security-reference-architecture-examples 코드형 인프라(IaC) 리포지토리가이 가이드와 함께 제공됩니다. 이 리포지토리에는 개발자와 엔지니어가이 문서에 제시된 몇 가지 지침 및 아키텍처 패턴을 배포하는 데 도움이 되는 코드가 포함되어 있습니다. 이 코드는 AWS 전문 서비스 컨설턴트의 고객 직접 경험을 바탕으로 작성되었습니다. 템플릿은 본질적으로 일반적입니다. 템플릿의 목표는 완전한 솔루션을 제공하는 대신 구현 패턴을 설명하는 것입니다. AWS 서비스 구성 및 리소스 배포는 의도적으로 매우 제한적입니다. 환경 및 보안 요구 사항에 맞게 이러한 솔루션을 수정하고 조정해야 할 수 있습니다.

AWS SRA 코드 리포지토리는 AWS CloudFormation 및 Terraform 배포 옵션을 모두 포함하는 코드 샘플을 제공합니다. 솔루션 패턴은 두 가지 환경을 지원합니다. 하나는를 필요로 AWS Control Tower 하고 다른 하나는를 사용하지 AWS Organizations 않고 사용합니다 AWS Control Tower. 가 필요한이 리포지토리의 솔루션은 및 Customizations for AWS Control Tower (CfCT)를 사용하여AWS Control Tower환경 내에 배포 AWS CloudFormation되고 테스트 AWS Control Tower 되었습니다. 필요하지 않은 솔루션은를 사용하여 AWS Organizations환경 내에서 테스트 AWS Control Tower 되었습니다 AWS CloudFormation. CfCT 솔루션은 고객이 AWS 모범 사례를 기반으로 안전한 다중 계정 AWS 환경을 빠르게 설정하는 데 도움이 됩니다. 계정 및 리소스 생성을 통해 초기 보안 기준을 구현하면서 안전하고 확장 가능한 워크로드를 실행하기 위한 환경 설정을 자동화하여 시간을 절약할 수 있습니다. AWS Control Tower 또한는 다중 계정 아키텍처, ID 및 액세스 관리, 거버넌스, 데이터 보안, 네트워크 설계 및 로깅을 시작할 수 있는 기준 환경을 제공합니다. AWS SRA 리포지토리의 솔루션은이 문서에 설명된 패턴을 구현하기 위한 추가 보안 구성을 제공합니다.

다음은 AWS SRA 리포지토리의 솔루션 요약입니다. 각 솔루션에는 세부 정보가 포함된 README.md 파일이 포함되어 있습니다. 

  • CloudTrail Organization 솔루션은 조직 관리 계정 내에 조직 추적을 생성하고 Audit 또는 Security Tooling 계정과 같은 멤버 계정에 관리를 위임합니다. 이 추적은 Security Tooling 계정에서 생성된 고객 관리형 키로 암호화되며 로그 아카이브 계정의 S3 버킷에 로그를 전송합니다. 선택적으로 Amazon S3 및 AWS Lambda 함수에 대해 데이터 이벤트를 활성화할 수 있습니다. 조직 추적은 멤버 계정이 구성을 수정하지 못하도록 하면서 조직의 모든 AWS 계정 에 AWS 대한 이벤트를 로깅합니다.

  • GuardDuty Organization 솔루션은 Security Tooling 계정에 관리를 위임하여 Amazon GuardDuty를 활성화합니다. 모든 기존 및 향후 AWS 조직 계정에 대해 보안 도구 계정 내에서 GuardDuty를 구성합니다. 또한 GuardDuty 결과는 KMS 키로 암호화되어 로그 아카이브 계정의 S3 버킷으로 전송됩니다.

  • Security Hub CSPM Organization 솔루션은 Security Tooling 계정에 관리를 위임하여 Security Hub CSPM을 구성합니다. 모든 기존 및 향후 AWS 조직 계정에 대해 Security Tooling 계정 내에서 Security Hub CSPM을 구성합니다. 또한 솔루션은 모든 계정 및 리전에서 활성화된 보안 표준을 동기화하고 Security Tooling 계정 내에서 리전 애그리게이터를 구성하기 위한 파라미터를 제공합니다. Security Tooling 계정 내에서 Security Hub CSPM을 중앙 집중화하면 보안 표준 규정 준수 및 AWS 서비스 및 타사 AWS Partner 통합의 조사 결과를 교차 계정 보기로 확인할 수 있습니다.

  • Inspector 솔루션은 조직의 모든 계정 및 관리 리전에 대해 위임된 관리자(보안 도구) 계정 내에서 Amazon Inspector를 AWS 구성합니다.

  • Firewall Manager 솔루션은 Security Tooling 계정에 관리를 위임하고 AWS Firewall Manager 보안 그룹 정책 및 여러 AWS WAF 정책으로 Firewall Manager를 구성하여 보안 정책을 구성합니다. 보안 그룹 정책에는 솔루션에서 배포하는 VPC(기존 또는 솔루션에서 생성) 내에서 허용되는 최대 보안 그룹이 필요합니다.

  • Macie Organization 솔루션은 Security Tooling 계정에 관리를 위임하여 Amazon Macie를 활성화합니다. 모든 기존 및 향후 AWS 조직 계정에 대해 보안 도구 계정 내에서 Macie를 구성합니다. Macie는 KMS 키로 암호화된 중앙 S3 버킷으로 검색 결과를 보내도록 추가로 구성됩니다.

  • AWS Config:

    • Config Aggregator 솔루션은 Security Tooling 계정에 관리를 위임하여 AWS Config 집계자를 구성합니다. 그런 다음 솔루션은 AWS 조직의 모든 기존 및 향후 계정에 대해 Security Tooling 계정 내의 AWS Config 집계자를 구성합니다.

    • 적합성 팩 조직 규칙 솔루션은 관리를 보안 도구 계정에 위임 AWS Config 규칙 하여 배포합니다. 그런 다음 조직의 모든 기존 및 향후 계정에 대해 위임된 관리자 계정 내에 AWS 조직 적합성 팩을 생성합니다. 솔루션은 암호화 및 키 관리 적합성 팩 운영 모범 사례 샘플 템플릿을 배포하도록 구성되어 있습니다.

    • AWS Config Control Tower Management Account 솔루션은 AWS Control Tower 관리 계정 AWS Config 에서 AWS Config 를 활성화하고 그에 따라 Security Tooling 계정 내의 애그리게이터를 업데이트합니다. 이 솔루션은 템플릿을 사용하여를 AWS Control Tower CloudFormation 참조 AWS Config 로 활성화하여 AWS 조직의 다른 계정과의 일관성을 보장합니다.

  • IAM:

    • Access Analyzer 솔루션은 Security Tooling 계정에 관리를 위임하여 IAM Access Analyzer를 활성화합니다. 그런 다음 조직의 모든 기존 및 향후 계정에 대해 Security Tooling 계정 내에서 AWS 조직 수준 IAM Access Analyzer를 구성합니다. 또한 솔루션은 모든 멤버 계정 및 리전에 IAM Access Analyzer를 배포하여 계정 수준 권한 분석을 지원합니다.

    • IAM 암호 정책 솔루션은 AWS 조직의 모든 계정 내에서 암호 정책을 업데이트 AWS 계정 합니다. 솔루션은 업계 규정 준수 표준에 맞게 암호 정책 설정을 구성하기 위한 파라미터를 제공합니다.

  • EC2 기본 EBS 암호화 솔루션은 각 AWS 계정 및 조직 내에서 계정 수준의 기본 Amazon EBS 암호화 AWS 리전 를 AWS 활성화합니다. 생성한 새 EBS 볼륨 및 스냅샷의 암호화를 적용합니다. 예를 들어 Amazon EBS는 인스턴스를 시작할 때 생성되는 EBS 볼륨과 암호화되지 않은 스냅샷에서 복사하는 스냅샷을 암호화합니다.

  • S3 Block Account Public Access 솔루션은 AWS 계정 AWS 조직의 각 내에서 Amazon S3 계정 수준 설정을 활성화합니다. Amazon S3 퍼블릭 액세스 차단 기능은 액세스 포인트, 버킷 및 계정에 대한 설정을 제공하여 Amazon S3 리소스에 대한 퍼블릭 액세스를 관리하는 데 도움을 줍니다. 기본적으로 새 버킷, 액세스 포인트 및 객체는 퍼블릭 액세스를 허용하지 않습니다. 그러나 사용자는 퍼블릭 액세스를 허용하도록 버킷 정책, 액세스 포인트 정책 또는 객체 권한을 수정할 수 있습니다. Amazon S3 퍼블릭 액세스 차단 설정은 이러한 리소스에 대한 퍼블릭 액세스를 제한할 수 있도록 이러한 정책 및 권한을 재정의합니다.

  • Detective Organization 솔루션은 계정(예: 감사 또는 보안 도구 계정)에 관리를 위임하고 모든 기존 및 향후 AWS Organizations 계정에 대해 Detective를 구성하여 Amazon Detective 활성화를 자동화합니다.

  • Shield Advanced 솔루션은의 배포를 자동화 AWS Shield Advanced 하여의 애플리케이션에 향상된 DDoS 보호를 제공합니다 AWS.

  • AMI Bakery Organization 솔루션은 표준 강화 Amazon Machine Image(AMI) 이미지를 구축하고 관리하는 프로세스를 자동화하는 데 도움이 됩니다. 이를 통해 AWS 인스턴스 전반의 일관성과 보안을 보장하고 배포 및 유지 관리 작업을 간소화할 수 있습니다.

  • 패치 관리자 솔루션은 여러에서 패치 관리를 간소화하는 데 도움이 됩니다 AWS 계정. 이 솔루션을 사용하여 모든 관리형 인스턴스에서 AWS Systems Manager 에이전트(SSM 에이전트)를 업데이트하고 Windows 및 Linux 태그가 지정된 인스턴스에서 중요하고 중요한 보안 패치 및 버그 수정을 스캔하고 설치할 수 있습니다. 또한 솔루션은 새의 생성을 감지 AWS 계정 하고 해당 계정에 솔루션을 자동으로 배포하도록 기본 호스트 관리 구성 설정을 구성합니다.